Des employés de Microsoft trompés par hameçonnage

Véritable plaie du courrier électronique, le phishing (ou hameçonnage en français) fait des ravages non seulement dans le grand public, mais également dans les services publics et en entreprise. Et chez les plus grandes. Des campagnes de ce type étaient en effet à l’origine du piratage de RSA ou du ministère français des Finances. En novembre 2012, Trend Micro l’estimait être le point de départ de 90 % des attaques ciblées.

Cette fois-ci, c’est Microsoft qui en a été la victime. Dans un billet de blog, Adrienne Hall, directrice général du groupe Trustworthy Computing de l’éditeur, explique ainsi que « les comptes de messagerie électronique et de réseaux sociaux d’un certain nombre d’employés de Microsoft ont été sujet à des attaques de phishing ciblé ». Et parfois avec succès : « nous avons appris qu’il y a eu des accès non autorisés aux comptes de messagerie électronique de certains employés, et que les informations contenues dans ces comptes pourraient être divulguées. Il semblerait que des documents associés à des requêtes légales aient été volés. » Voulant rassurer les clients éventuellement concernés, Adrienne Hall souligne prévoir de « prendre les mesures nécessaires » au cas où des données clients associées à ces documents auraient été compromises. Et d’assurer « renforcer notre sécurité », mentionnant notamment « la formation continue des employés » et l’examen complémentaire des « technologies en place ».

Ironie du sort, Microsoft s’était associé, en janvier 2012, à quatorze acteurs de l’IT américain pour lutter contre le phishing au moyen d’une spécification visant à authentifier la provenance des messages, DMARC. La spécification de base a été finalisée fin mars 2013. 

En attendant, Symantec avait alerté, début septembre, sur la sophistication croissante des méthodes de phishing et d’ingénierie sociale, les cybercriminels ajoutant un canal de communication physique à leurs tentatives de tromperie.